Points de vue

Les joueurs et la sécurité des jeux vidéo

Kevin Townsend, 12 février 2019

Rassemblez tous les bons points du blogueur invité Kevin Townsend qui explique comment les joueurs en ligne doivent être plus malins que les pirates... en plus de leurs adversaires.

Début janvier 2019, une grande société de sécurité américaine a publié les résultats d'un sondage sur les joueurs et la sécurité. C'était un peu décevant. Elle a révélé que les trois quarts des joueurs s'inquiètent de la sécurité des jeux à l'avenir ; 55 % des joueurs réutilisent les mots de passe d'un compte à l'autre ; et le joueur moyen a subi près de cinq cyberattaques.

Cela ne nous apprend rien sur les joueurs ou la sécurité des jeux. Remplacez le mot « joueurs » par « serveurs » et nous en apprendrons autant sur les baristas et la sécurité dans les cafés, probablement avec autant de précision. Les joueurs en dehors de leurs jeux ne sont que des utilisateurs d'ordinateurs avec les mêmes problèmes de sécurité et les mêmes préoccupations que tout le monde.

Mais à l'intérieur du jeu, c'est un monde complètement différent où seules certaines des règles normales du comportement civilisé s'appliquent. Les pirates s'introduisent dans le système des joueurs et volent des biens virtuels. Ensuite, ils vendent ces biens à d'autres joueurs à l'intérieur du jeu pour de l'argent du monde réel. Et les meilleurs pirates de jeux peuvent gagner beaucoup d'argent.

Pourquoi le piratage dans le jeu existe-t-il

Les jeux vidéo sont aujourd'hui la plus grande industrie du divertissement au monde. Comparé aux livres, aux films, à la télévision et à la musique, c'est aussi le support numérique le plus intrinsèquement numérique. Bien que les jeux vidéo soient un divertissement, les joueurs confient souvent autant d'informations personnelles à des sociétés de jeux vidéo qu'à leur lieu de travail, à des boutiques en ligne ou même à des institutions financières. Alors, qu'est-ce que les pirates informatiques ont à gagner à cibler les jeux vidéo et leurs joueurs ?

Objets de valeur virtuels

Les économies virtuelles ont essentiellement fourni un précurseur à la cryptomonnaie. Bien que l'argent virtuel gagné dans le jeu ne puisse pas être utilisé dans le monde réel, c'est toujours une marchandise avec une valeur réelle pour les joueurs. Les comptes avec de grandes quantités de monnaie dans le jeu ou l'accès à des objets rares et prestigieux dans le jeu peuvent atteindre des prix élevés dans le monde réel. Quel que soit l'âge du jeu, là où il y a une base de joueurs forte, il y a de la valeur. Un modérateur (alias Mod Jed) de RuneScape, l'un des plus anciens jeux en ligne, a récemment exploité ses privilèges élevés pour voler de l'argent virtuel (45 milliards de pièces virtuelles) d'une valeur réelle de 100000 $ aux joueurs.

Ceci s'applique également aux jeux eux-mêmes. De nombreux jeux sont publiés, vendus et authentifiés en ligne sur des plateformes de distribution telles que Steam, Origin, GOG Galaxy, entre autres. Les joueurs gèrent fréquemment tous leurs jeux ou la plupart d'entre eux via un seul compte, et les utilisateurs Steam de longue date peuvent disposer de bibliothèques de centaines de jeux. Steam permet également aux joueurs de conserver et d'échanger des objets virtuels supplémentaires tels que des fonds d'écran, des autocollants et des cosmétiques en jeu. Il y a eu des cas de pirates qui ont volé de tels articles dans les inventaires de Steam, ainsi que des comptes entiers sur Origin.

Vols de données

Le plus souvent, cependant, ce sont les comptes des joueurs qui sont les plus précieux pour les pirates, et donc les plus souvent ciblés. Les jeux en ligne et mobiles collectent une grande quantité de données sur leurs utilisateurs. Plus les données sont personnelles, plus elles sont précieuses pour les pirates informatiques, et les jeux mobiles suivent souvent des informations aussi intimes que la localisation, l'engagement médiatique et même les appels téléphoniques. Les transactions dans le jeu et les abonnements mensuels aux jeux en ligne signifient que les informations financières sont souvent incluses avec les données de l'utilisateur.

Les menaces auxquelles sont confrontés les joueurs

Qu'un pirate informatique cherche à prendre en compte la richesse virtuelle du personnage du joueur ou les données du monde réel du joueur, il dispose de plusieurs moyens pour réussir un piratage. Les méthodes elles-mêmes ne sont pas différentes de celles auxquelles les utilisateurs dans n'importe quel autre domaine font face, mais les joueurs peuvent connaître des facteurs de risque et des circonstances uniques.

Faible authentification

La réutilisation des mots de passe est un problème courant, car le joueur moyen doit gérer des comptes pour plusieurs plateformes de distribution, éditeurs et jeux eux-mêmes. Chaque plateforme de distribution (Steam, Origin, etc.) nécessite un compte ; certaines sociétés de jeux comme Epic Games et Rockstar ont besoin d'un compte pour jouer à des jeux ou accéder à des fonctionnalités de réseaux sociaux ; la plupart des jeux en ligne multijoueurs nécessitent un mot de passe pour jouer seuls. Les joueurs doivent donc mémoriser et gérer des dizaines de mots de passe, et les anciens jeux peuvent facilement être oubliés si les informations d'identification du compte ne sont pas mises à jour depuis des années.

De nombreux jeux complètent également la moitié du travail pour les pirates potentiels par eux-mêmes ; souvent, le simple fait de voir un autre joueur dans le jeu révélera son nom d'utilisateur. Par exemple, Battlefield 5 a un mode compétitif jusqu'à 64 joueurs, ce qui signifie qu'un seul jeu fournit un acteur malveillant potentiel jusqu'à 63 noms d'utilisateur pour essayer des mots de passe communs ou par défaut.

D'autres jeux vous donneront accès aux scores des joueurs, donnant accès à pratiquement tous les noms d'utilisateurs utilisés dans le jeu, ou au moins à ceux des meilleurs joueurs, ce qui aura encore plus de valeur.

Phishing

Les campagnes de phishing ciblent fréquemment les joueurs de jeux populaires. Les escrocs ne se limitent pas aux e-mails frauduleux standard généralement utilisés pour tromper les utilisateurs et les amener à renoncer à leurs identifiants de connexion. Une tactique fréquente consiste à créer une fausse page de connexion ou à se faire passer pour un ami et à tenter d'envoyer des liens malveillants via des plateformes de chat. L'intérêt commun pour le jeu donne de la crédibilité, et même de la confiance, à un courriel de phishing.

Les jeux offrent également plus d'options aux escrocs qui réussissent que les autres domaines. Une attaque de phishing réussie peut ne pas aboutir à une prise de contrôle complète du compte du joueur, mais permettre à l'intrus de prendre tout ce qui a de la valeur dans son inventaire Steam ou dans son personnage MMO et de passer à autre chose.

Malwares

Les vecteurs de propagation des malwares s'adressant aux joueurs chevauchent souvent les méthodes de phishing. Si le chat Steam peut être utilisé pour diffuser des liens vers de fausses pages d'authentification, il peut certainement être utilisé pour envoyer des liens vers des téléchargements intempestifs de malwares. Avec les jeux de compétition, de nombreux joueurs peuvent être convaincus de télécharger volontairement des malwares promettant de fournir des tricheurs, des pirates ou d'autres moyens d'obtenir un avantage sur les autres joueurs.

Les failles de sécurité dans les jeux et les sites Web

Bien qu'il existe de nombreuses façons pour les joueurs d'être la proie d'escrocs, cela n'exonère pas les sociétés de jeu de leur responsabilité. Les joueurs s'appuient autant sur des infrastructures et des applications sécurisées que sur leur propre capacité à détecter une menace. Malheureusement, ce n'est pas une responsabilité que les sociétés de jeux ont toujours assumée correctement.

En janvier 2018, une faille dans le processus d'authentification Fortnite a été révélée. L'URL de connexion n'a pas été validée, ce qui la rend vulnérable à une attaque de redirection. Pour empirer les choses, les chercheurs qui ont découvert la faille ont également trouvé et piraté un sous-domaine Epic inutilisé et vulnérable. Maintenant, l'authentification d'Epic utilise la connexion aux médias sociaux. Une véritable demande de connexion serait également redirigée vers le sous-domaine piraté, qui demanderait les identifiants de connexion de l'utilisateur, les recevrait et les enverrait au pirate.

L'utilisateur réel et le pirate auront tous les deux les informations d'identification correctes pour accéder au compte Fortnite. Le pirate pourrait voler des artefacts, toutes les informations personnelles qu'ils contiennent (peut-être même les coordonnées de carte bancaire), et acheter et voler de l'argent dans le jeu (V-Bucks, qu'il pourrait ensuite vendre pour de l'argent réel en dehors du jeu). Et tout ce que le pirate aurait à faire est de persuader la victime d'utiliser l'URL de redirection malveillante pour se connecter, ce qui est une ingénierie sociale standard.

Comment les joueurs peuvent se protéger

La situation n'est pas aussi catastrophique qu'il n'y paraît. Il arrive souvent que les utilisateurs soient le point le plus faible de tout système de sécurité, mais la plupart des joueurs sont des pros du numérique. Une certaine familiarité avec la technologie facilite souvent la formation des utilisateurs sur des points plus précis de la sécurité et de la protection des données. Il existe de multiples précautions que les gens peuvent prendre pour mieux protéger leurs comptes. Voici quelques-unes de ces possibilités :

Protection par mot de passe

Les bonnes pratiques en matière de mots de passe sont tout aussi efficaces dans le jeu qu'ailleurs. Les joueurs devraient suivre les directives concernant l'efficacité des mots de passe et envisager d'utiliser des phrases de passe pour aider la mémoire et se protéger contre le forçage brutal. Un bon gestionnaire de mot de passe peut être également utile. Avant tout, il est important d'éviter de réutiliser le même mot de passe sur plusieurs comptes, sinon un compte Overwatch piraté pourrait compromettre Steam, Origin, et même la boîte e-mail personnelle de l'utilisateur.

Sensibilisation au phishing

Les conseils de phishing standard s'appliquent tout autant aux joueurs qu'aux autres. Ne cliquez jamais sur un lien sans être sûr de savoir à quoi il donne accès. Même les liens envoyés par des amis peuvent être malveillants dans le cas de comptes piratés. Rappelez-vous que les e-mails authentiques des fournisseurs de jeux ne demanderont pas d'informations de connexion ou d'informations personnelles. S'il est impossible de savoir avec certitude si un e-mail est authentique, communiquez directement avec l'équipe de support du jeu et posez-lui la question. Les joueurs devraient se méfier des offres « trop belles pour être vraies ». Un compagnon de jeu fait une offre a priori à prix cassé peut tenter d'attirer les acheteurs dans un stratagème de phishing, et un site Web offrant des avantages concurrentiels imbattables est plus que probablement une arnaque quelconque.

Protection contre les malwares

Beaucoup de joueurs sont contre l'exécution d'un logiciel antivirus car il est souvent perçu comme une perte en termes de performances. Certains produits antivirus sont également sujets aux faux positifs lorsqu'il s'agit de jeux ou de plateformes de jeux. Il est encore possible, et certainement conseillé, de trouver un bon antivirus qui inclut des fonctionnalités de « mode jeu » pour maintenir des performances élevées, et qui ne découragera pas les joueurs de rester en sécurité avec de faux positifs.

Authentification multi-facteurs

De nombreux jeux et distributeurs offrent des options d'authentification à deux facteurs (ou plus). Celles-ci doivent toujours être activées, si possible. Cela ajoute une étape supplémentaire au processus de connexion, en envoyant un code soit à un e-mail enregistré, soit à un numéro de téléphone. Bien que cela reste peu pratique, les sociétés de jeu encouragent l'authentification à deux facteurs pour améliorer la sécurité des comptes, et certains commencent à offrir des récompenses en jeu aux joueurs qui l'activent.

Comment les sociétés de jeux peuvent vous aider

Dans la plupart des cas, la responsabilité ultime de la sécurité des comptes incombe aux joueurs. Toutefois, cela ne signifie pas que les développeurs, les éditeurs et les distributeurs ne peuvent pas, ou ne devraient pas, faire quoi que ce soit pour favoriser la sécurité de leurs joueurs autant que possible. Voici quelques mesures que les sociétés de jeux peuvent prendre pour aider à maintenir un haut niveau de sécurité :

Support aux utilisateurs et fonctionnalités de sécurité

Certaines méthodes que les joueurs peuvent utiliser pour se protéger dépendent de ce que l'entreprise de jeux vidéo en question a fourni. L'authentification multifactorielle est bonne, mais seulement si le logiciel dispose d'un cadre à cette fin. Il devrait y avoir un support en place pour que les utilisateurs puissent verrouiller rapidement leurs comptes en cas de piratage, surtout s'il s'agit d'informations financières.

Sécurité backend

Il y a aussi des fonctionnalités que les développeurs peuvent implémenter et qui n'ont jamais besoin d'être vues par le joueur. La clôture virtuelle peut être un outil efficace pour protéger les comptes utilisateurs et est déjà utilisé dans de nombreux autres domaines. La biométrie comportementale pourrait également être une option à envisager. Bien que la biométrie comportementale n'en soit qu'à ses débuts et qu'elle soit assez coûteuse à mettre en œuvre, le jeu se trouve dans une position unique pour explorer cette technologie. Une forme rudimentaire de biométrie comportementale est déjà utilisée dans les systèmes de détection des tricheurs de certains jeux, capable d'identifier les tricheurs potentiels par des incohérences dans le jeu. Une petite innovation pourrait facilement l'étendre à la sécurité et à la protection des comptes.

Prise en charge des connaissances utilisateurs

Il n'y a rien que les entreprises puissent faire, qu'il s'agisse de jeux ou autres, pour forcer leurs utilisateurs à être prudents en matière de sécurité. Cependant, il n'y a aucune raison de ne pas rendre les informations aussi accessibles et digestes que possible. Une page facile d'accès des meilleures pratiques de base en matière de sécurité, présentée dans un langage concis et convivial, ne manquerait certainement pas d'intérêt. Toute menace connue et active doit être déclarée de manière visible sur l'écran de lancement d'un jeu ou dans le menu principal, ainsi que la meilleure façon pour les joueurs de se protéger.

Respect des données personnelles des utilisateurs

Les données sont précieuses, tant pour les responsables légitimes du traitement des données que pour les acteurs malveillants qui cherchent à les compromettre. Les jeux mobiles et les applications de médias sociaux ont tous deux la même réputation en ce qui concerne la collecte de données inutiles sur leurs utilisateurs, ce qui signifie que toute violation entraîne une perte beaucoup plus importante qu'elle ne devrait l'être. Plusieurs jeux ont dû être interrompus à la suite du RGPD, car il aurait été trop coûteux de mettre à jour leurs systèmes de collecte de données à grande échelle pour se conformer à la nouvelle réglementation. Les sociétés de jeux vidéo, comme toute organisation qui collecte ou stocke des données sur ses clients, devraient suivre les meilleures pratiques en matière de sécurité et ne jamais collecter plus de données que nécessaire.

Les jeux vidéo ont un type unique de dualité en matière de cybersécurité. Un joueur est un utilisateur de logiciel comme les autres ; il est soumis aux mêmes risques et menaces de sécurité que tout autre utilisateur. Les mêmes principes de sécurité sont tout aussi efficaces et importants. Cependant, chaque menace comporte aussi une particularité, ajoutant une complication que l'on ne retrouve dans aucun autre domaine. Les pirates ont plus d'options pour compromettre la sécurité d'un joueur, et les joueurs doivent adapter leurs pratiques pour en tenir compte. En connaissant les aspects de la sécurité identiques et ceux qui sont différents, les sociétés de jeux et leurs clients peuvent se protéger et rester en sécurité dans un mode de vie qui est « juste pour le plaisir » tout en contenant une valeur réelle, et le potentiel de perte réelle.

Kevin Townsend est un blogueur invité du blog Avast où vous pouvez vous informé des dernières nouvelles sur la sécurité. Avast est un leader mondial de la cybersécurité, protégeant des centaines de millions d'utilisateurs à travers le monde avec un antivirus gratuit primé et préservant la confidentialité de leurs activités en ligne grâce notamment à un VPN et autres produits de confidentialité. 

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, pensez à nous suivre sur Facebook et Twitter.